Mehr Sicherheit für Ihre Stellenanzeigen
QR-Code Phishing ist eine Methode des Social Engineerings, bei der betrügerische QR-Codes erstellt werden, um ahnungslose Nutzer auf gefälschte Webseiten oder schadhafte Inhalte zu lenken. Solche QR-Codes wirken auf den ersten Blick harmlos und können überall auftauchen – in gedruckten Stellenanzeigen, auf Plakaten oder sogar als Aufkleber an öffentlichen Orten. Hier sind die häufigsten Gefahren für Verbraucher- in diesem Fall Bewerberinnen:
- Phishing-Websites: Der QR-Code leitet Nutzer auf Webseiten, die wie seriöse Webseiten aussehen. Die Nutzer geben dann vertrauliche Informationen ein (z. B. Login-Daten oder Bankinformationen), die Kriminelle dann stehlen.
- Malware-Download: In einigen Fällen kann ein QR-Code Nutzer direkt zum Download schadhafter Software auf das Smartphone oder andere Geräte führen, wodurch persönliche Daten ausgespäht oder das Gerät ferngesteuert werden kann.
- Finanzielle Verluste: QR-Codes können auch so programmiert werden, dass sie betrügerische Zahlungen auslösen, insbesondere bei Bezahldiensten, die häufig per QR-Code funktionieren.
- Gefälschte Weiterleitungen: Angreifer können QR-Codes an öffentlichen Orten überkleben, etwa an Ticketautomaten, um Nutzer auf schadhafte Seiten zu leiten. Die Verbraucher denken, dass sie beispielsweise eine Stadt- oder Bahnhofsanwendung öffnen, gelangen jedoch stattdessen auf eine betrügerische Website.
Sicherheitsmaßnahmen für Verbraucher: vermeiden Sie, QR-Codes an unbekannten oder unsicheren Orten zu scannen und verwenden Sie QR Code Scanner mit Vorschau, die die URL vorab anzeigen, was eine schnelle Prüfung erlaubt.
Verbessern der Candidate Experience bei Stellenanzeigen
Bei Stellenanzeigen empfiehlt es sich, Branded Shortlinks statt QR-Codes zu verwenden. Diese sind besonders sicher, weil BewerberInnen direkt erkennen können, wohin der Link führt, während bei QR-Codes keine sichtbare URL vorhanden ist. Da der Markenname Teil der URL ist, sehen sie, dass der Link von einer vertrauenswürdigen Quelle stammt. falls sie sich unsicher fühlen, können sie den Link direkt eingeben, während QR-Codes nur mit einem Scanner lesbar sind. Auch das Risiko versteckter Umleitungen wird mit gebrandeten Shortlinks ausgeschlossen: Kriminelle müssten den gebrandeten Shortlink nachahmen, was deutlich schwieriger ist als bei QR-Codes.
Gerade im Printbereich bieten Shortlinks eine gute Balance aus Sicherheit und Benutzerfreundlichkeit. Wenn BewerberInnen einen Print-Shortlink lesen, können sie den Link aktiv im Browser eintippen, was den Sicherheitseindruck erhöht.
Können QR-Codes von außen manipuliert werden?
Die Antwort lautet: ja. Sogar harmlose QR-Codes in Stellenanzeigen können tatsächlich von außen manipuliert werden - ohne dass der Jobanbieter davon etwas mitbekommt: z.B. durch Überkleben von QR-Codes mit bösartigen Codes ,die auf den ersten Blick unverändert erscheinen, aber zu einer gefälschten Seite führen. Besonders bei öffentlich zugänglichen Aushängen ist dies eine gängige Methode.
Auch wenn eine Stellenanzeige mit QR-Code über eine ungesicherte Kette an Dritte weitergegeben wird, kann bei der Erstellung oder Bearbeitung gefälscht und der QR-Code im Layout ersetzt werden. Der Link führt dann am Ende auf eine manipulierte Website, ohne dass dies vom Unternehmen bemerkt wird.
Ein hohes Risiko besteht auch bei der Verwendung von dynamischen QR-Codes, die von vielen Shortlink-Programmen angeboten und nachträglich umgeleitet werden können. Wenn jemand Zugang zur Plattform hat, die die dynamischen QR-Codes verwaltet, kann er die Ziel-URL ändern und den QR-Code so zu einer Phishing-Seite umleiten.
Schutzmaßnahmen
- Setzen Sie auf festgelegte (statische) QR-Codes. Sie können nicht nachträglich verändert werden und sind sicherer, da sie auf eine feste URL verlinken.
- Sorgen Sie z.B. bei Aushängen auf gute Druckqualität und Platzierung: Hochwertig gedruckte QR-Codes sind schwerer unbemerkt zu überkleben, und die Platzierung an weniger zugänglichen Stellen in Anzeigen erschwert Manipulationen.
- Verwenden Sie Branded Shortlinks zusätzlich zum QR-Code. Dies erlaubt NutzerInnen, den Link bei Bedarf manuell einzugeben und das Ziel vor dem Klick zu überprüfen.
Diese Maßnahmen schützen zwar nicht vollständig vor Manipulationen, verringern aber das Risiko erheblich und bieten Nutzern eine sichere Alternative.
Fazit:
Für sicherheitskritische Anwendungen, bei denen die Integrität des Links entscheidend ist – wie Stellenanzeigen – kann es sinnvoller sein, statische Shortlinks oder gebrandete Links zu nutzen, da diese ein höheres Vertrauen bieten und weniger manipulationsanfällig sind. In Summe erhöhen gebrandete Shortlinks das Vertrauen der Nutzer und schützen gleichzeitig besser vor den Gefahren des QR-Phishing.
Lesen Sie hier unseren Beitrag zu gebrandeten Shortlinks
Ulrike Röse-Maier, Geschäftsführerin von Media Consult Maier + Partner GmbH, ist Expertin für alle Themen rund ums Recruiting und Employer Branding im Gesundheitswesen.
Im Blog berichtet sie über aktuelle Entwicklungen im Recruiting. „Die Babyboomer sind bereits oder gehen bald in Rente. Junge Fachkräfte, die momentan noch der Gen Z und schon bald der Gen Alpha angehören, haben beim Eintritt in den Arbeitsmarkt ganz andere Skills und Erwartungen, als die Generationen ihrer Eltern und Großeltern. Sie bewegen sich in einem volatilen, von Unsicherheiten geprägten globalen Umfeld, gehen souverän mit divers strukturierten Arbeitsumfeldern um und verschaffen sich auf völlig anderen Kanälen Informationen über ihre zukünftigen Arbeitgeber. Dazu kommt die Dynamik technischer Entwicklungen im Bereich Digital Recruiting, Machine-Learning, Cybersicherheit, Datenanalyse und Künstliche Intelligenz. All das stellt Arbeitgeber permanent vor neue Herausforderungen und erfordert nicht nur neue Ansätze im Personalmarketing, sondern wird auch die Entwicklung von Unternehmenskulturen nachhaltig beeinflussen."
Ulrike Röse-Maier hat Politikwissenschaften, Personal-/Organisationsentwicklung und Wirtschaftspsychologie studiert, ist zertifizierte Gesundheitsökonomin und hat einen Masterabschluss im Bereich Human Resources Management. Im Rahmen des E-Learning-Angebots der Quadriga Executive Education in Berlin führte sie als Referentin für das Online-Studium „HR und Social Media Management” verschiedene Module zu Social Recruiting durch. In ihrer Studie „kiia – kulturell integrative Integration ärztlicher Teams in Krankenhäusern“ erarbeitete sie Handlungsempfehlungen für die Integrationsarbeit in interkulturellen Ärzteteams. Gemeinsam mit ihrem Team, ExpertInnen aus dem Bereich Recruiting, KI und Personalmarketing erarbeitet sie zukunftsfähige Strategien für die Mitarbeitersuche.